FireScam Mobile Malware
Novo identifikovaná hrozba pre Android s názvom FireScam bola odhalená. Maskuje sa ako vylepšená verzia aplikácie na odosielanie správ Telegram. Táto klamná taktika umožňuje hroziacemu softvéru extrahovať citlivé používateľské dáta a udržiavať trvalý vzdialený prístup k napadnutým zariadeniam.
Obsah
Chytrý prevlek: falošná telegramová prémiová aplikácia
FireScam je distribuovaný pod zámienkou falošnej aplikácie „Telegram Premium“. Šíri sa prostredníctvom phishingovej webovej stránky hosťovanej na GitHub.io, ktorá sa falošne prezentuje ako RuStore – známy trh s aplikáciami v Rusku. Bezpečnostní analytici opisujú túto mobilnú hrozbu ako komplexnú a vysoko adaptabilnú. Po inštalácii nasleduje viacstupňový proces infekcie, ktorý začína kvapkacím súborom APK, ktorý uľahčuje rozsiahly dohľad.
Podvodná stránka rustore-apk.github.io napodobňuje rozhranie RuStore a je navrhnutá tak, aby oklamala používateľov, aby si stiahli súbor APK s kvapkadlom s názvom „GetAppsRu.apk“.
Úloha Droppera v útoku FireScam
Po inštalácii slúži kvapkadlo ako podávací mechanizmus pre primárne užitočné zaťaženie. Tento základný komponent je zodpovedný za zhromažďovanie a prenos citlivých informácií – ako sú správy, upozornenia a dáta aplikácií – do databázy Firebase Realtime Database.
Na posilnenie kontroly kvapkadlo vyžaduje viaceré povolenia, ktoré zahŕňajú prístup k externému úložisku a možnosť inštalovať, aktualizovať alebo odstraňovať aplikácie na zariadeniach so systémom Android verzie 8 a novšej.
Obzvlášť znepokojujúcim aspektom FireScam je jeho využívanie povolenia ENFORCE_UPDATE_OWNERSHIP. Táto funkcia systému Android umožňuje pôvodnému inštalátorovi aplikácie stať sa jej „vlastníkom aktualizácie“, čo znamená, že aktualizácie môže spúšťať iba určený vlastník. Využitím tohto mechanizmu môže FireScam blokovať legitímne aktualizácie z iných zdrojov, čím sa zabezpečí jeho nepretržitá prítomnosť na infikovanom zariadení.
Pokročilé funkcie úniku a sledovania
FireScam využíva techniky zahmlievania, aby odolal detekcii a analýze. Aktívne monitoruje prichádzajúce upozornenia, zmeny stavu obrazovky, aktivitu používateľov, obsah schránky a dokonca aj online transakcie. Hrozba je tiež schopná sťahovať a spracovávať obrázky zo vzdialeného servera, čím pridáva ďalšiu vrstvu k možnostiam sledovania.
Po spustení si nečestná aplikácia Telegram Premium vyžiada povolenie na prístup ku kontaktom používateľov, záznamom hovorov a SMS správam. Potom predstavuje prihlasovaciu stránku, ktorá odzrkadľuje oficiálnu webovú stránku Telegramu prostredníctvom WebView, pričom sa pokúša zachytiť poverenia používateľa. Proces zberu údajov sa však spustí aj vtedy, ak používateľ nezadá svoje prihlasovacie údaje.
Udržiavanie trvalého vzdialeného prístupu
Jednou z najzákernejších funkcií FireScam je jeho schopnosť zaregistrovať sa pre upozornenia Firebase Cloud Messaging (FCM). To umožňuje hrozbe prijímať vzdialené pokyny a udržiavať nepretržitý skrytý prístup k zariadeniu. Okrem toho vytvára spojenie WebSocket so svojím serverom príkazov a ovládania (C2), aby sa uľahčila krádež údajov a vykonali sa ďalšie nebezpečné akcie.
Iné škodlivé zložky a nezodpovedané otázky
Výskumníci tiež identifikovali ďalší škodlivý artefakt umiestnený na phishingovej doméne, ktorý sa označuje ako „CDEK“. Tento názov pravdepodobne odkazuje na ruskú logistickú službu a službu sledovania balíkov, čo naznačuje širšiu zákernú aktivitu nad rámec samotného FireScam.
Zostáva nejasné, kto stojí za touto operáciou alebo ako sú používatelia nasmerovaní na tieto phishingové odkazy. Potenciálne taktiky by mohli zahŕňať SMS phishing (smishing) alebo malvertisingové kampane. Napodobňovaním legitímnych služieb, ako je RuStore, tieto klamlivé webové stránky manipulujú s dôverou používateľov, aby presvedčili jednotlivcov, aby si stiahli podvodné aplikácie.
Schopnosť FireScam exfiltrovať údaje a vykonávať dohľad podčiarkuje riziká spojené s distribučnými metódami založenými na phishingu. Tento prípad poukazuje na pretrvávajúce výzvy pri ochrane používateľov systému Android pred hrozbami, ktoré využívajú sociálne inžinierstvo a dôveru v známe platformy.
